Ingeniera en Sistemas e Informtica

Laboratorio 7 cisco
Jorge Quimis
8vo A

Prctica de laboratorio: Uso de Wireshark para examinar

capturas de FTP y TFTP
Topologa: parte 1 (FTP)
En la parte 1, se resaltar una captura de TCP de una sesin FTP. Esta topologa consta de una PC con
acceso a Internet.

Topologa: parte 2 (TFTP)

En la parte 2, se resaltar una captura de UDP de una sesin TFTP. La PC debe tener tanto una conexin
Ethernet como una conexin de consola para el switch S1.

Tabla de direccionamiento (parte 2)

Dispositivo

Interfaz

Direccin IP

Mscara de
subred

Gateway
predeterminado

S1

VLAN 1

192.168.1.1

255.255.255.0

No aplicable

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

Objetivos
Parte 1: Identificar campos de encabezado y operacin TCP mediante una captura de sesin FTP de
Wireshark
Parte 2: Identificar campos de encabezado y operacin UDP mediante una captura de sesin TFTP de
Wireshark

Informacin bsica/Situacin
Los dos protocolos en la capa de transporte TCP/IP son TCP, definido en RFC 761, y UDP, definido en RFC
768. Los dos protocolos admiten la comunicacin de protocolos de la capa superior. Por ejemplo, TCP se
utiliza para proporcionar soporte de la capa de transporte para los protocolos de transferencia de hipertexto
(HTTP) y FTP, entre otros. UDP proporciona soporte de la capa de transporte para el Sistema de nombres
de dominios (DNS) y TFTP, entre otros.
Nota: entender las partes de los encabezados y de la operacin TCP y UDP es una aptitud fundamental con
la que deben contar los ingenieros de red.
En la parte 1 de esta prctica de laboratorio, utilizar la herramienta de cdigo abierto de Wireshark para
capturar y analizar campos de encabezado del protocolo TCP para las transferencias de archivos FTP entre
el equipo host y un servidor FTP annimo. Para conectarse a un servidor FTP annimo y descargar un
archivo, se emplea la utilidad de lnea de comandos de Windows. En la parte 2 de esta prctica de
laboratorio, utilizar Wireshark para capturar y analizar campos de encabezado del protocolo UDP para las
transferencias de archivos TFTP entre el equipo host y el switch S1.
Nota: el switch que se utiliza es Cisco Catalyst 2960s con Cisco IOS versin 15.0(2) (imagen de lanbasek9).
Pueden utilizarse otros switches y versiones de Cisco IOS. Segn el modelo y la versin de Cisco IOS, los
comandos disponibles y los resultados obtenidos pueden diferir de los que se muestran en las prcticas de
laboratorio.
Nota: asegrese de que el switch se haya borrado y de que no tenga configuraciones de inicio. Si no est
seguro, consulte con el instructor.
Nota: en la parte 1, se supone que la PC tiene acceso a Internet, y no se puede realizar utilizando Netlab. La
parte 2 es compatible con Netlab.

Recursos necesarios: parte 1 (FTP)

1 PC (Windows 7, Vista o XP con acceso al smbolo del sistema, acceso a Internet y Wireshark instalado)

Recursos necesarios: parte 2 (TFTP)

1 switch (Cisco 2960 con Cisco IOS, versin 15.0(2), imagen lanbasek9 o similar)

1 PC (Windows 7, Vista o XP con Wireshark y un servidor TFTP, como tftpd32, instalados)

Cable de consola para configurar los dispositivos Cisco IOS a travs del puerto de consola

Cable Ethernet como se muestra en la topologa

Parte 1: Identificar campos de encabezado y operacin TCP mediante

una captura de sesin FTP de Wireshark
En la parte 1, se utiliza Wireshark para capturar una sesin FTP e inspeccionar los campos de encabezado TCP.

Paso 1: Inicie una captura de Wireshark.

a. Cierre todo el trfico de la red innecesario, como el explorador Web, para limitar la cantidad de trfico
durante la captura de Wireshark.
b. Inicie la captura de Wireshark.

Paso 2: Descargar el archivo Lame

a. En el smbolo del sistema, introduzca ftp ftp.cdc.gov.
b. Conctese al sitio FTP de Centros para el Control y la Prevencin de Enfermedades (CDC) con el
usuario anonymous y sin contrasea.

c.

Ubique y descargue el archivo Lame.

Paso 3: Detener la captura de Wireshark

Paso 4: Ver la ventana principal de Wireshark
Wireshark captur muchos paquetes durante la sesin FTP a ftp.cdc.gov. Para limitar la cantidad de datos
para analizar, escriba tcp and ip.addr == 198.246.112.54 en el rea de entrada Filter: (Filtrar:) y haga clic
en Apply (Aplicar). La direccin IP, 198.246.112.54, es la direccin para ftp.cdc.gov.

Paso 5: Analizar los campos TCP

Una vez aplicado el filtro TCP, las primeras tres tramas en el panel de la lista de
paquetes (seccin superior) muestran el protocolo de la capa de transporte TCP
que crea una sesin confiable. La secuencia de [SYN], [SYN, ACK] y [ACK] ilustra
el protocolo de enlace de tres vas.

El TCP se utiliza en forma continua durante una sesin para controlar la entrega del
datagrama, verificar la llegada del datagrama y administrar el tamao de la ventana.
Por cada intercambio de datos entre el cliente FTP y el servidor FTP, se inicia una
nueva sesin TCP. Al trmino de la transferencia de datos, se cierra la sesin TCP.
Por ltimo, cuando la sesin FTP finaliza, TCP realiza un cierre y terminacin
ordenados.

En Wireshark, se encuentra disponible informacin detallada sobre TCP en el

panel de detalles del paquete (seccin media) . Resalte el primer datagrama TCP
del equipo host y expanda el registro TCP. El datagrama TCP expandido parece
similar al panel de detalles del paquete que se muestra a continuacin.

La imagen anterior es un diagrama del datagrama TCP. Se proporciona una

explicacin de cada campo para referencia:

El nmero de puerto de origen TCP pertenece al host de la sesin TCP

que inici una conexin. Generalmente el valor es un valor aleatorio
superior a 1,023.
El nmero de puerto de destino TCP se utiliza para identificar el protocolo de
capa superior o la aplicacin en el sitio remoto. Los valores en el intervalo de 0 a
1023 representan los puertos bien conocidos y estn asociados a servicios y
aplicaciones populares (como se describe en la RFC 1700, por ejemplo, Telnet,
FTP, HTTP, etc.). La combinacin de direccin IP de origen, puerto de origen,
direccin IP de destino y puerto de destino identifica de manera exclusiva la
sesin tanto para el emisor como para el receptor.

Nota: en la captura de Wireshark que se muestra a continuacin, el puerto de

destino es 21, que es FTP. Los servidores FTP escuchan las conexiones de cliente
FTP en el puerto 21.

El nmero de secuencia especifica el nmero del ltimo octeto en un segmento.

El nmero de acuse de recibo especifica el prximo octeto que espera el

receptor.

Los bits de cdigo tienen un significado especial en la administracin de sesin

y en el tratamiento de los segmentos. Entre los valores interesentes se
encuentran:
- ACK: acuse de recibo de un segmento.
-

SYN: sincronizar; solo est configurado cuando se negocia una sesin

TCP nueva durante el protocolo de enlace de tres vas.
FIN: finalizar; solicitud para cerrar la sesin TCP.

Window size (Tamao de la ventana) es el valor de la ventana deslizante;

determina cuntos octetos se pueden enviar antes de esperar un acuse de recibo.
Urgent pointer (Indicador urgente) se utiliza solo con un indicador urgente
(URG) cuando el emisor necesita enviar datos urgentes al receptor.
En Options (Opciones), hay una sola opcin actualmente, y se define como
el tamao mximo del segmento TCP (valor optativo).

Utilice la captura de Wireshark del inicio de la primera sesin TCP (bit SYN
establecido en 1) para completar la informacin acerca del encabezado TCP:
De la PC al servidor CDC (solo el bit SYN est establecido en 1):
Direccin IP de origen:
Direccin IP de destino:
Nmero de puerto de origen:
Nmero de puerto de destino:
Nmero de secuencia:
Nmero de acuse de recibo:
Longitud del encabezado:
Tamao de la ventana:

En la segunda captura filtrada de Wireshark, el servidor FTP de CDC acusa recibo

de la solicitud de la PC. Observe los valores de los bits SYN y ACK.

Complete la siguiente informacin con respecto al mensaje SYN-ACK.

Direccin IP de origen:
Direccin IP de destino:
Nmero de puerto de origen:
Nmero de puerto de destino:
Nmero de secuencia:
Nmero de acuse de recibo:
Longitud del encabezado:
Tamao de la ventana:
En la etapa final de la negociacin para establecer las comunicaciones, la PC enva un
mensaje de acuse de recibo al servidor. Observe que solo el bit ACK est establecido
en 1, y el nmero de secuencia se increment a 1.

Complete la siguiente informacin con respecto al mensaje ACK.

Direccin IP de origen:
Direccin IP de destino:
Nmero de puerto de origen:
Nmero de puerto de destino:
Nmero de secuencia:
Nmero de acuse de recibo:
Longitud del encabezado:
Tamao de la ventana:
Cuntos otros datagramas TCP contenan un bit SYN?
Una vez establecida una sesin TCP, puede haber trfico FTP entre la PC y el
servidor FTP. El cliente y el servidor FTP se comunican entre s sin saber que TCP
tiene el control y manejo de la sesin. Cuando el servidor FTP enva una Response:
220 (Respuesta: 220) al cliente FTP, la sesin TCP en el cliente FTP enva un acuse
de recibo a la sesin TCP en el servidor. Esta secuencia se puede ver en la captura
de Wireshark, a continuacin.

Cuando la sesin FTP termin, el cliente FTP enva un comando para salir. El servidor
FTP acusa recibo de la terminacin FTP con una Response: 221 Goodbye (Respuesta:
221. Adis). En este momento, la sesin TCP del servidor FTP enva un datagrama TCP al
cliente FTP, en el que se anuncia la terminacin de la sesin TCP. La sesin TCP del
cliente FTP acusa recibo de la recepcin del datagrama de terminacin y luego enva su
propia terminacin de sesin TCP. Cuando quien origin la terminacin TCP (servidor FTP)
recibe una terminacin duplicada, se enva un datagrama ACK para acusar recibo de la
terminacin y se cierra la sesin TCP. Esta secuencia se puede ver en el diagrama y la
captura que se muestran a continuacin.

Si se aplica un filtro ftp, puede examinarse la secuencia completa del trfico FTP en
Wireshark. Observe la secuencia de eventos durante esta sesin FTP. Para recuperar el
archivo Lame, se utiliz el nombre de usuario annimo. Una vez que se complet la
transferencia de archivos, el usuario finaliz la sesin FTP.

Vuelva a aplicar el filtro TCP en Wireshark para examinar la terminacin de la

sesin TCP. Se transmiten cuatro paquetes para la terminacin de la sesin
TCP. Dado que la conexin TCP es full-duplex, cada direccin debe terminar
independientemente. Examine las direcciones de origen y destino.
En este ejemplo, el servidor FTP no tiene ms datos para enviar en el stream;
enva un segmento con el conjunto de indicadores FIN en la trama 63. La PC
enva un ACK para acusar recibo del FIN para terminar la sesin del servidor al
cliente en la trama 64.
En la trama 65, la PC enva un FIN al servidor FTP para terminar la sesin TCP.
El servidor FTP responde con un ACK para acusar recibo del FIN de la PC en la
trama 67. Ahora, la sesin TCP termin entre el servidor FTP y la PC.

Parte 2: Identificar campos de encabezado y operacin

UDP mediante una captura de sesin TFTP de
Wireshark
En la parte 2, se utiliza Wireshark para capturar una sesin TFTP e inspeccionar los
campos de encabezado UDP.

Paso 1: Configurar esta topologa fsica y prepararse para la captura de

TFTP

a. Establezca una consola y una conexin Ethernet entre la PC-A y el switch S1.

b. Si an no lo hizo, configure manualmente la direccin IP de la PC en

192.168.1.3. No se requiere configurar el gateway predeterminado.

c.

Configure el switch. Asigne la direccin IP 192.168.1.1 a VLAN 1. Verifique la

conectividad con la PC haciendo ping a 192.168.1.3. Resuelva cualquier
problema que se presente.
S
w
i
t
c
h
>
e
n
a
b
l
e
S
w
i

t
c
h
#
c
o
n
f
t

Enter configuration commands, one per line.

End with CNTL/Z. Switch(config)# host S1
S1(config)# interface vlan 1
S1(config-if)# ip address 192.168.1.1 255.255.255.0
S1(config-if)# no shut
*Mar 1 00:37:50.166: %LINK-3-UPDOWN: Interface Vlan1, changed
state to up *Mar 1 00:37:50.175: %LINEPROTO-5-UPDOWN: Line
protocol on Interface Vlan1, changed state to up
S1(config-if)# end
S1# ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
1/203/1007 ms

Paso 2: Preparar el servidor TFTP en la PC

a. Si an no existe, cree una carpeta en el escritorio de la PC con el nombre
TFTP. Los archivos del switch se copiarn a esta ubicacin.
b. Inicie tftpd32 en la PC.
c.

Haga clic en Browse (Buscar), cambie el directorio actual por

C:\Usuarios\usuario1\Escritorio\TFTP y reemplace usuario1 con su
nombre de usuario.
El servidor TFTP debera verse as:

Observe que, en Current Directory (Directorio actual), se indica la interfaz

de usuario y servidor (PC-A) como la direccin IP 192.168.1.3.
d. Pruebe la capacidad de copiar un archivo del switch a la PC con TFTP.
Resuelva cualquier problema que se presente.
S1# copy start tftp
Address or name of remote
host

[]?

Destination

192.168.1.3
filename

[s1-

confg]?
!!
1638 bytes copied in 0.026 secs (63000 bytes/sec)
Si ve que el archivo se copi (como en el resultado de arriba), entonces
est listo para avanzar al siguiente paso. De lo contrario, resuelva el
problema. Si recibe el mensaje de error %Error opening tftp
(Permission denied) (Error al abrir tftp [permiso denegado]), primero
asegrese de que el firewall no est bloqueando el TFTP y de que est
copiando a una ubicacin donde su nombre de usuario tiene el permiso
adecuado, como el escritorio.

Paso 3: Capturar una sesin TFTP en Wireshark

a. Abra Wireshark. En el men Edit (Editar), seleccione Preferences
(Preferencias) y haga clic en el signo ms (+) para expandir Protocols
(Protocolos). Desplcese hacia abajo y seleccione UDP. Haga clic en la
casilla de verificacin Validate the UDP checksum if possible (Validar
checksum UDP si es posible) y luego en Apply (Aplicar). A continuacin,
haga clic en OK (Aceptar).

b. Inicie una captura de Wireshark.

c.

Ejecute el comando copy start tftp en el switch.

d. Detener la captura de Wireshark

e. Defina el filtro en tftp. El resultado debe ser similar al que se muestra ms

arriba. Esta transferencia TFTP se utiliza para analizar el funcionamiento de la
capa de transporte UDP.
En Wireshark, se encuentra disponible informacin detallada sobre UDP en el
panel de detalles del paquete. Resalte el primer datagrama UDP del equipo host y
mueva el puntero del mouse hacia el panel de detalles del paquete. Puede ser
necesario ajustar el panel de detalles del paquete y expandir el registro UDP con
un clic en la casilla de expansin de protocolo. El datagrama UDP expandido debe
ser similar al diagrama siguiente.

En la siguiente ilustracin, se muestra un diagrama de datagrama UDP. La

informacin del encabezado est dispersa comparada con la del datagrama TCP.
Al igual que TCP, cada datagrama UDP est identificado con el puerto de origen
UDP y el puerto de destino UDP.

Utilice la captura Wireshark del primer datagrama UDP para completar la

informacin acerca del encabezado UDP. El valor de la checksum es un valor
hexadecimal (base 16) indicado por el cdigo anterior 0x:
Direccin IP de origen:
Direccin IP de destino:
Nmero de puerto de origen:
Nmero de puerto de destino:
Longitud de mensaje UDP:
Checksum de UDP:
Cmo verifica UDP la integridad del datagrama?
Examine la primera trama que devuelve el servidor tftpd. Complete la informacin sobre el
encabezado UDP:

Direccin IP de origen:
Direccin IP de destino:
Nmero de puerto de origen:
Nmero de puerto de destino:
Longitud de mensaje UDP:
Checksum de UDP:

Observe que el datagrama UDP devuelto tiene un puerto de origen UDP diferente,
pero este puerto de origen es utilizado para el resto de la transferencia TFTP. Dado
que no hay una conexin confiable, para mantener la transferencia TFTP, se utiliza
solo el puerto de origen que se emple para iniciar la sesin TFTP.
Tambin observe que el valor de checksum UDP es incorrecto. Lo ms probable es
que se deba a la descarga de checksum UDP. Para obtener ms informacin acerca
del motivo por el cual sucede esto, realice una bsqueda de UDP checksum
offload.

Reflexin
Esta prctica de laboratorio brind a los estudiantes la oportunidad de
analizar las operaciones de los protocolos UDP y TCP de las sesiones
TFTP y FTP capturadas. De qu manera TCP administra la comunicacin
distinto de como lo hace UDP?

Desafo
Debido a que ni FTP ni TFTP son protocolos seguros, todos los datos
transferidos se envan en texto no cifrado. Esto incluye cualquier ID de
usuario, contraseas o contenido de archivo en texto no cifrado. Si analiza la
sesin FTP de capa superior, identificar rpidamente la ID de usuario, la
contrasea y las contraseas de archivos de configuracin. El examen de
datos TFTP de capa superior es un poco ms complicado, pero se puede
examinar el campo de datos y extraer informacin sobre la ID de usuario de
configuracin y la contrasea.

Limpieza
Salvo que el instructor indique lo contrario:
1) Elimine los archivos que se copiaron a su PC.
2) Borre las configuraciones del switch S1.
3) Elimine la direccin IP manual de la PC y restaure la conectividad a
Internet.